Коментарі для запису: Проблеми додатків на PHP стали “головним болем” фахівців з безпеки http://websecurity.com.ua/619/ Tue, 21 Apr 2026 09:16:59 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/619/#comment-10715 Sat, 24 Feb 2007 13:26:52 +0000 http://websecurity.com.ua/619/#comment-10715 <strong>trovich</strong>, спасибі з пропозицію. Вона цілком слушна і актуальна. Детально з цього приводу я тобі на емайл напишу. trovich, спасибі з пропозицію.

Вона цілком слушна і актуальна. Детально з цього приводу я тобі на емайл напишу.

]]> від: trovich http://websecurity.com.ua/619/#comment-9921 Mon, 19 Feb 2007 17:38:23 +0000 http://websecurity.com.ua/619/#comment-9921 Маю пропозицію, яка може тебе зацікавити. Хочу запропонувати трохи матеріалу українською щодо PHP-безпеки, та й не тілько. Звісно, я не Штефан Ессер і не Веденей ;) , але дещицю досвіду маю. Сам ніяк не зберусь зайнятися, а от долучитися до живого проекту можу вже зараз. Якщо тебе цікавлять такі "гостьові" статі - відпишись на мило як би ти хотів це бачити і всьо такоє :) Маю пропозицію, яка може тебе зацікавити. Хочу запропонувати трохи матеріалу українською щодо PHP-безпеки, та й не тілько. Звісно, я не Штефан Ессер і не Веденей ;) , але дещицю досвіду маю. Сам ніяк не зберусь зайнятися, а от долучитися до живого проекту можу вже зараз. Якщо тебе цікавлять такі “гостьові” статі - відпишись на мило як би ти хотів це бачити і всьо такоє :)

]]> від: MustLive http://websecurity.com.ua/619/#comment-9920 Mon, 19 Feb 2007 17:10:10 +0000 http://websecurity.com.ua/619/#comment-9920 <strong>trovich</strong>, стосовно цієї фрази Пітера Мелла, з приводу мови, то ти слушно зауважив. Сам звернув на неї увагу, коли перекладав новину :-), що він поспішив зі своєю заявою. І стосовно твого обурення від цих слів Пітера, то я тобі раджу написати йому листа і висказати все що ти думаєш з цього приводу :D (і про що ти написав в коментарях). Щоб він надалі більш виважено висловлювався в сторону PHP. А відносно сомої новини, то зростання кількості уразливостей в тому числі говорить і про популярність і поширенність мови і сайтів на основі php. Що секюріті дослідники та хакери регулярно знаходять дірки в додатках на php, яких чимала кількість. Це також свідчить про якість самих программістів на цій мові та про те, що на питання безпеки мало звертається уваги на даний момент (і я намагаюся змінити цю ситуацію). Як відомо, інструмент (в даному випадку мова PHP) не відповідальний за наслідки його використання - кожен інструмент можна використовувати як на користь, так і на шкоду. Завжди є дві сторони. Тому не треба мову звинувачувати в проблемах программістів, які нею користуються (на що ти і звернув увагу). З часом це в них пройде. Також методологія підрахування кількості % уразливостей саме в php додатках в даному дослідженні не є досконалою. Тому що пошук в багтреці по слові "php" ще не дасть повної картини (лише "php includes", як локальні, так і віддалені). Чимало уразливостей, які мають місце на різних платформах (XSS, SQL Injection), не мають в своїй назві ніяких приставок мови (та й в назвах дір та експлоітів в багтреках не рідко просто не згадується мова вразливого додатка). Це аж ніяк не зменшує проблем й інших мов, в кожній з яких є свої особливості. Про котрі завжди повинен пам'ятати програміст, який використовує дану мову. І завжди проводити <a href="/audit/" rel="nofollow">аудити безпеки</a> своїх веб додатків та веб сайтів. Тому треба підвищувати рівень веб програмістів, поширювати знання з веб безпеки (зокрема, для веб розробників я створив свій <a href="/security/" rel="nofollow">Посібник з безпеки</a>), та регулярно перевіряти безпеку своїх веб розробок. trovich, стосовно цієї фрази Пітера Мелла, з приводу мови, то ти слушно зауважив. Сам звернув на неї увагу, коли перекладав новину :-) , що він поспішив зі своєю заявою. І стосовно твого обурення від цих слів Пітера, то я тобі раджу написати йому листа і висказати все що ти думаєш з цього приводу :D (і про що ти написав в коментарях). Щоб він надалі більш виважено висловлювався в сторону PHP.

А відносно сомої новини, то зростання кількості уразливостей в тому числі говорить і про популярність і поширенність мови і сайтів на основі php. Що секюріті дослідники та хакери регулярно знаходять дірки в додатках на php, яких чимала кількість. Це також свідчить про якість самих программістів на цій мові та про те, що на питання безпеки мало звертається уваги на даний момент (і я намагаюся змінити цю ситуацію).

Як відомо, інструмент (в даному випадку мова PHP) не відповідальний за наслідки його використання - кожен інструмент можна використовувати як на користь, так і на шкоду. Завжди є дві сторони. Тому не треба мову звинувачувати в проблемах программістів, які нею користуються (на що ти і звернув увагу). З часом це в них пройде.

Також методологія підрахування кількості % уразливостей саме в php додатках в даному дослідженні не є досконалою. Тому що пошук в багтреці по слові “php” ще не дасть повної картини (лише “php includes”, як локальні, так і віддалені).

Чимало уразливостей, які мають місце на різних платформах (XSS, SQL Injection), не мають в своїй назві ніяких приставок мови (та й в назвах дір та експлоітів в багтреках не рідко просто не згадується мова вразливого додатка). Це аж ніяк не зменшує проблем й інших мов, в кожній з яких є свої особливості. Про котрі завжди повинен пам’ятати програміст, який використовує дану мову. І завжди проводити аудити безпеки своїх веб додатків та веб сайтів. Тому треба підвищувати рівень веб програмістів, поширювати знання з веб безпеки (зокрема, для веб розробників я створив свій Посібник з безпеки), та регулярно перевіряти безпеку своїх веб розробок.

]]> від: trovich http://websecurity.com.ua/619/#comment-8340 Sat, 03 Feb 2007 17:33:54 +0000 http://websecurity.com.ua/619/#comment-8340 >Мови для створення сайтів повинні бути максимально адаптовані під “чайників”. Таке ляпнути багато розуму не тре. Я люблю PHP як зручну мову із файним інтерпретатором і великими можливостями, врешті-решт - це мій хліб. І вважаю, що такі заяви - нісенітниця. Адаптувати треба інструменти, як от приміром використання багатьох файних фреймворків "змушує" до написання більш якісного коду. Бо ж і продукти нібито не від чайників теж діряві як теє решето (як от Wordpress чи phpBB). В тому числі треба йти вперед і не зациклюватися на 4й версії, яка досі абсолютно домінує, водночас має ряд проблем типу register_globals = On за умовчанням і подібне. НМСД, це хвороби зростання. П'ятірка - то вже добрий інструмент для вирішення дуже серйозних задач, в той же час вона не втратила гнучкості і краси PHP. Це загалом ненормальна ситуація, коли так довго не вводиться в користування нова, покращена версія продукту. Так вже склалися ряд факторів, про котрі тут не час говорити. Друга проблема - то взагалі питання "чи займатися чайникові не своєю справою". Звісно, то є право кожного, особливо коли інструмент дозволяє це зробити. Але треба розуміти можливі наслідки, ось і все. І коли вони можуть перевищити ціну питання розробки - треба задуматися. Це типу коли ти сам лікуєш хворобу вдома, або те саме може зробити фаховий лікар. Третя проблема - криві руки хостерів, котрі дозволяють при зламі сайту на шаред-хостингові ще й нанести шкоду іншим клієнтам. А потім волають на PHP. Є в мене такі знайомі і багато ми з ними списів переламали з цього приводу... Четверте. Взагалі, цьому Інтернету варто подякувати PHP за те, що він є такий як є. До вибухового зростання кількости цікавих (і не дуже, звісно) ресурсів мова має саме безпосередньє відношення, інакше розробка могла би затягнутися надовго, або навіть не відбулася через неможливість людини із цікавими ідеями замовити розробку. І вже за це PHP варто поважати. Коротше, всі -- йдіть лісом! :twisted: >Мови для створення сайтів повинні бути максимально адаптовані під “чайників”.
Таке ляпнути багато розуму не тре. Я люблю PHP як зручну мову із файним інтерпретатором і великими можливостями, врешті-решт - це мій хліб. І вважаю, що такі заяви - нісенітниця. Адаптувати треба інструменти, як от приміром використання багатьох файних фреймворків “змушує” до написання більш якісного коду. Бо ж і продукти нібито не від чайників теж діряві як теє решето (як от Wordpress чи phpBB). В тому числі треба йти вперед і не зациклюватися на 4й версії, яка досі абсолютно домінує, водночас має ряд проблем типу register_globals = On за умовчанням і подібне. НМСД, це хвороби зростання. П’ятірка - то вже добрий інструмент для вирішення дуже серйозних задач, в той же час вона не втратила гнучкості і краси PHP. Це загалом ненормальна ситуація, коли так довго не вводиться в користування нова, покращена версія продукту. Так вже склалися ряд факторів, про котрі тут не час говорити.
Друга проблема - то взагалі питання “чи займатися чайникові не своєю справою”. Звісно, то є право кожного, особливо коли інструмент дозволяє це зробити. Але треба розуміти можливі наслідки, ось і все. І коли вони можуть перевищити ціну питання розробки - треба задуматися. Це типу коли ти сам лікуєш хворобу вдома, або те саме може зробити фаховий лікар.
Третя проблема - криві руки хостерів, котрі дозволяють при зламі сайту на шаред-хостингові ще й нанести шкоду іншим клієнтам. А потім волають на PHP. Є в мене такі знайомі і багато ми з ними списів переламали з цього приводу…
Четверте. Взагалі, цьому Інтернету варто подякувати PHP за те, що він є такий як є. До вибухового зростання кількости цікавих (і не дуже, звісно) ресурсів мова має саме безпосередньє відношення, інакше розробка могла би затягнутися надовго, або навіть не відбулася через неможливість людини із цікавими ідеями замовити розробку. І вже за це PHP варто поважати.
Коротше, всі — йдіть лісом! :twisted:

]]>